Plugin de criptomonedas de WordPress filtra información

La Agencia de Seguridad Cibernética de Singapur (CSA) destacó que un plugin de widgets de criptomonedas para la plataforma de desarrollo web WordPress contiene una vulnerabilidad que puede utilizarse para extraer información sensible.

Un boletín de seguridad publicado por el Equipo de Respuesta a Ciberemergencias de Singapur (SingCERT) alertaba contra el plugin denominado «The Cryptocurrency Widgets – Price Ticker & Coins List»; lo marcó como poseedor de vulnerabilidades críticas.

Como se muestra más arriba, el widget de criptomonedas recibió una puntuación base de 9.8/10, lo que lo sitúa en el nivel «crítico», que es el más alto en el espectro de vulnerabilidades.

La National Vulnerability Database (NVD) -el repositorio del gobierno de los Estados Unidos de datos de gestión de vulnerabilidades basados en estándares- explicó que el plugin de criptomonedas de WordPress es «vulnerable a la inyección SQL a través del parámetro ‘coinslist’ en las versiones 2.0 a 2.6.5 debido a un escape insuficiente en el parámetro suministrado por el usuario y a la falta de preparación suficiente en la consulta SQL existente».

Dicha vulnerabilidad permite la extracción de información sensible de la base de datos al hacer posible que atacantes no autentificados añadan consultas adicionales en lenguaje de consulta estructurado (SQL) a consultas ya existentes.

Según la empresa de seguridad CVE Program, el widget fue suministrado por un proveedor llamado «narinder-singh», y se descubrió que las versiones 2.0 a 2.6.5 eran portadoras de la vulnerabilidad.

Fuente: es.cointelegraph.com